ПОЛИТИКА

Некоммерческой организации «Фонд развития промышленности Калужской области»

в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика разработана в целях определения в Некоммерческой организации «Фонд развития промышленности Калужской области» (далее – Фонд) общих принципов и условий обработки персональных данных, а также основных мер обеспечения безопасности персональных данных при их обработке в информационных системах Фонда.
3.2. С целью обеспечения выполнения требований Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Фонд определяет важнейшими задачами:

- обеспечение законности обработки персональных данных в Фонде;

- обеспечение надлежащего уровня безопасности обрабатываемых в Фонде персональных данных.

3.3. Действие настоящей Политики распространяется на все процессы обработки персональных данных, осуществляемые Фондом. Требования Политики являются обязательными для исполнения всеми работниками Фонда. 

1.4. Законодательной основой настоящей Политики является Конституция Российской Федерации, Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных», федеральные законы, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, другие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных, а также руководящие документы ФСТЭК России и ФСБ России. 

1.5. Настоящая Политика подлежит опубликованию на портале Фонда с предоставлением неограниченного доступа к ней. 

1.6. Настоящая Политика применяется к цифровым сервисам Фонда (включая сайт https://frpko.ru). Фонд не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте Фонда.

1.7. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Российской Федерации.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных (далее – ПДн) в Фонде осуществляется на законной и справедливой основе в соответствии со следующими принципами:

- Фонд осуществляет обработку ПДн с соблюдением принципов, правил и в случаях, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных», с учётом защиты интересов сторон процесса обработки;

- обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;

- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только ПДн, которые отвечают целям их обработки;

-содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; 

- при обработке ПДн должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Фонд принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки ПДн являются:

- Конституция Российской Федерации.

- Трудовой кодекс Российской Федерации.

- Налоговый кодекс Российской Федерации (ч.1-2).

- Федеральный закон от 24.07.2009 № 213-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных законодательных актов (положений законодательных актов) Российской Федерации в связи с принятием Федерального закона «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования».

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-  Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

-  Согласие субъекта на обработку ПДн.

- Договоры, заключаемые между Фондом и субъектами ПДн.

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. Состав и цели обработки персональных данных

 4.1. К категориям субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных (далее – ИСПДн) Фонда, относятся:

4.1.1. Работники Фонда:

- ФИО;
- паспортные данные;
- дата рождения;
- адрес постоянной регистрации;
- адрес фактического проживания;
- ИНН;
- СНИЛС;
- телефонный номер;
- доходы;
- номер расчетного счета;
- сведения об образовании;
- данные военного билета;
- состав семьи (ФИО, год рождения);
- сведения о трудовой деятельности.

4.1.2. Заявители, бенефициарные владельцы и аффилированные лица заявителя, участники/акционеры заявителя, гаранты/поручители (их бенефициары и аффилированные лица), залогодатели (включая супруг(а)), соисполнителя, лиц, входящих в органы управления соисполнителя, сотрудники заявителя и соисполнителя:

- ФИО;
- паспортные данные;
- адрес постоянной регистрации;
- СНИЛС;
- ИНН;
- дата рождения;
- место рождения;
- адрес фактического проживания;
- адрес электронной почты;
- телефонный номер;
- должность.

4.1.3. Лица, с которыми заключаются договоры подряда (договоры ГПХ, ИП):

- ФИО;
- дата рождения;
- ИНН;
- СНИЛС;
- телефонный номер;
- паспортные данные;
- адрес постоянной регистрации;
- адрес фактического проживания;
- номер расчетного счета.

4.2. Допускается сбор дополнительных данных о субъекте, что в обязательном порядке отражается в согласии субъекта на обработку его ПДн либо в составе договора, заключаемого с субъектом.

4.3. Сбор биометрических ПДн не производится.

4.4. Обработка ПДн производится в целях:

- автоматизации процесса сбора и обработки информации о заявках на получение льготных займов;
- автоматизации процесса сбора и обработки информации о ходе реализации проектов заемщиков Фонда.
- предоставления льготных займов;
- заключения договора подряда;
- заключения договоров займа; 
- заключения договоров залога в обеспечение договоров займа; 
- заключения договоров поручительства в обеспечение договоров займа; 
- заключения иных договоров и соглашений, относящихся к деятельности предоставления услуг/работ, включая направление в адрес субъекта ПДн уведомлений, касающихся предоставляемых услуг/работ, подготовка и направление ответов на запросы субъекта ПДн, направление в его адрес информации о мероприятиях/товарах/услугах/работах Фонда;
- ведения бухгалтерского учета и кадровой работы;
- ведения хозяйственной деятельности Фонда.

4.5. Состав ПДн должен соответствовать принципу их достаточности для достижения целей обработки. В Фонде контролируется отсутствие избыточности обрабатываемых ПДн.

4.6. На сайте собираются персональные данные посредством метрических программ, в частности «Яндекс.Метрика» и «AppMetrica». Используя сайт и/или предоставляя Фонду свои ПДн, субъект ПДн выражает согласие на обработку своих ПДн на условиях, предусмотренных настоящей Политикой.

4.7. На сайте Фонда (https://frpko.ru/) могут собираться персональные данные (а именно файлы cookie) для персонализации сервисов и повышения удобства работы с сайтом. Используя сайт и/или предоставляя Фонду свои ПДн, субъект ПДн выражает согласие на обработку своих ПДн на условиях, предусмотренных настоящей Политикой.

5. Условия обработки персональных данных

5.1. Обработка ПДн допускается в следующих случаях:

- получено согласие субъекта ПДн на обработку его ПДн;

- иные случаи, предусмотренные пунктами 2-11 части 1 статьи 6 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».

5.2. Фонд не раскрывает персональные данные субъекта третьим лицам и не распространяет персональные данные без согласия субъекта ПДн, если иное не предусмотрено законодательством.

5.3. Фонд осуществляет обработку ПДн как без использования средств автоматизации, так и автоматизированную обработку ПДн, с передачей и без передачи по внутренней сети Фона, с передачей и без передачи в сети общего пользования Интернет. 

5.4. Фонд, в ходе своей деятельности на основании соглашения, предоставляет и (или) поручает обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. При этом, условием такого предоставления и (или) поручения является обязанность третьего лица, осуществляющего обработку ПДн по поручению Фонда, соблюдать принципы и правила обработки ПДн, конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке.

5.5. Сроки обработки ПДн (сроки хранения) определяются в соответствии с целями обработки ПДн и фиксируются для каждой категории субъектов. Сроки хранения также могут устанавливаться договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, а также требованиями законодательства и нормативными документами регулятора. 

5.6. Фонд не осуществляет трансграничную передачу ПДн.

5.7. Фонд самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по обработке ПДн, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами.

5.8. Состав и перечень мер, необходимых для выполнения обязанностей по обработке ПДн определяется в соответствии с уровнем защищенности ПДн, обрабатываемых в ИСПДн Фонда. 

5.9. Обработка ПДн, необходимая для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем, осуществляется без получения согласия субъекта ПДн.

6. Права субъектов персональных данных

6.1. Субъект ПДн имеет право:

- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- на получение от Фонда информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Фондом способы обработки ПДн;
4) наименование и место нахождение Фонда, сведения о лицах (за исключением работников Фонда), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Фондом или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Фонда, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных» и другими федеральными законами.
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- отозвать согласие на обработку своих ПДн в предусмотренных законом случаях;
- обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.2. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»

7. Порядок рассмотрения обращений и/или запросов субъектов персональных данных

7.1. В целях соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и для предоставления необходимой информации по его обращению и/или запросу, осуществляется прием и обработка обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки.

7.2. При рассмотрении обращений и/или запросов субъектов ПДн Фонд руководствуется положениями законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое субъектом персональных данных, должен/должно содержать информацию, предусмотренную Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных».

7.3. Фонд, получив обращение и/или запрос субъекта ПДн и убедившись в его законности, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на представление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. 

7.4. Предоставление информации и/или принятие иных мер (уничтожение, блокирование, уточнение ПДн) в связи с поступлением обращений и/или запросов от субъектов персональных данных производится Фондом в объеме и сроки, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных». Срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен в случае направления в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.5. Предоставляемые Фондом сведения не могут содержать персональные данные, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.

7.6. Фонд вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту ПДн или его представителю мотивированного отказа, если у Фонда в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении/удовлетворении поступивших требований (в том числе в соответствии с частью 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»).

7.7. Фонд вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных».

8. Конфиденциальность персональных данных

8.1. Фонд обеспечивает конфиденциальность ПДн субъектов в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. №152ФЗ «О персональных данных».

8.2. Доступ к ПДн и их предоставление третьим лицам ограничены требованиями федерального законодательства Российской Федерации и внутренних нормативных документов Фонда и предоставляется в строгом соответствии с законодательством Российской Федерации.

8.3. Работники Фонда, получившие доступ к ПДн, принимают обязательства по обеспечению конфиденциальности обрабатываемых ПДн, которые определены:

-трудовым договором;

- внутренними нормативными документами Фонда.

9. Обеспечение безопасности персональных данных

9.1. Безопасность ПДн, обрабатываемых Фондом, обеспечивается реализацией правовых, организационных, технических и программных мер, направленных на защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

9.2. Для обеспечения безопасности ПДн при их обработке в Фонде применяются следующие организационно-технические меры:

- назначение работника, ответственного за обработку и защиту информации;

- издание документов, определяющих политику Фонда в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;

- внутренний контроль соответствия обработки ПДн законодательству Российской Федерации;

- оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

- определение угроз безопасности ПДн при их обработке в ИСПДн Фонда;

- ознакомление работников Фонда с правилами работы с ПДн и локальными актами по вопросам обработки ПДн;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности ПДн, в том числе до ввода информационных систем в эксплуатацию;

- учет машинных носителей ПДн; 

- обнаружение фактов несанкционированного доступа к ПДн и принятие мер по их нейтрализации; 

-восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

- установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

9.3. Объектами защиты являются:

- персональные данные, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей (далее – АРМ);

- персональные данные, передаваемые по каналам и линиям связи;

- персональные данные, хранящиеся в документированном виде на бумажных носителях;

- прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки ПДн;

- аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;

- средства защиты информации.

9.4. Фонд реализует кадровую политику (тщательный подбор персонала и мотивации), позволяющую исключить или минимизировать возможность нарушения безопасности ПДн своими работниками.

10. Ответственность

10.1. Субъекты ПДн несут ответственность за предоставление достоверной информации о себе, а также своевременное уведомление уполномоченных работников Фонда об изменениях своих ПДн.

10.2. Фонд несёт ответственность за соблюдение принципов и условий обработки ПДн, а также за обеспечение безопасности ПДн в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных».

10.3. Лица, виновные в нарушениях Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных», несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством Российской Федерации и организационно-распорядительными документами Фонда.

---

Согласие на обработку персональных данных

Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 года свободно, своей волей и в своем интересе выражаю свое безусловное согласие на обработку моих персональных данных ФРП Калужской области (ОГРН 1064000022646, ИНН 4027076710), зарегистрированным в соответствии с законодательством РФ по адресу: 248001, г. Калуга, ул.Дзержинского, дом 41, помещ.2 (далее по тексту - Оператор).

1. Согласие дается на обработку одной, нескольких или всех категорий персональных данных, не являющихся специальными или биометрическими, предоставляемых мною, которые могут включать:

- Фамилия;
- Имя;
- Название компании;
- Программа;
- Телефон;
- E-mail;

2. Оператор может совершать следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.

3. Способы обработки: как с использованием средств автоматизации, так и без их использования.

4. Цель обработки: предоставление мне услуг/работ, включая, направление в мой адрес уведомлений, касающихся предоставляемых услуг/работ, подготовка и направление ответов на мои запросы, направление в мой адрес информации о мероприятиях/товарах/услугах/работах Оператора.

5. Настоящее согласие действует до момента его отзыва путем направления соответствующего уведомления на электронный адрес frpko@frpko.ru или направления по адресу 248001, г.Калуга, ул.Дзержинского, дом 41, помещ.2

6. В случае отзыва мною согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» от 27.07.2006 г.

---

Файлы Cookie и другие технологии отслеживания

Как и многие другие компании, организация использует технологии отслеживания на сайте (далее по тексту совместно именуются “файлы Cookie”, если не указано иное), включая маркеры HTTP, HTML5 и локальную флэш-память, веб-маяки/GIFs, встроенные скрипты и завершающие тэги/кэш-браузеры, как определено ниже.
Организация может использовать файлы Cookie для различных целей и тем самым улучшить вашу работу в Интернете, например, запомнив ваши данные при отправке сообщения через форму обратной связи или предпочтения при предыдущих просмотрах страниц сайта, чтобы использовать их, когда вы возвращаетесь к сайту в дальнейшем.
Организация  использует технологии отслеживания во время просмотра сайта и технологии постоянного отслеживания. Технологии отслеживания (например, файлы Cookie) могут быть постоянными (то есть они сохраняются на вашем компьютере, пока вы не удалите их) или временными (т.е. они сохраняются до тех пор, пока вы не закроете свой браузер). Организация также использует основные и сторонние файлы Cookie. Основные файлы Cookie используются и контролируются нами для предоставления услуг Сервисов. Сторонние файлы Cookie управляются третьими лицами, в основном с целью рекламы и аналитики.
В частности, на сайте организации используются следующие категории файлов Cookie:

• Строго необходимые файлы Cookie. Файлы Cookie необходимы для предоставления услуг и функций, которые вы запрашиваете в каждом конкретном случае. Может использоваться файлы Cookie и технологии отслеживания, необходимые для повышения уровня безопасности и системного администрирования. Без использования таких файлов предоставления услуг невозможно.

• Аналитические и связанные с производительностью файлы Cookie: организация может использовать файлы Cookie, чтобы оценить эффективность размещенной информации, в том числе в рамках своей аналитической деятельности для улучшения контента, предлагаемого через сайт. Эти файлы Cookies могут быть использованы для предотвращения мошенничества и повышения уровня безопасности.

• Функциональные файлы Cookie: организация может использовать файлы Cookie, чтобы узнать, к примеру, посещали ли вы сайт ранее, или, если вы новый посетитель, чтобы определить мероприятия, к которым вы испытываете наибольший интерес.

• Технологии таргетинга: организация может использовать технологии отслеживания для доставки контента, включая рекламные объявления, соответствующие вашим интересам к тематике сайта и сайтам третьих сторон.